개인정보 보호위원회

개인정보보호 법규 위반 2개 공공기관 제재

- ‘가명정보’도 개인정보 보호법 상 안전조치 의무 준수 및 처리내역 보관 필요

  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위)는 4월 24일(수) 전체회의를 열고, 「개인정보 보호법」상 가명정보 처리 특례 규정을 위반한 대한적십자사와 국립중앙도서관에 대해 총 640만 원의 과태료 부과와 시정명령 및 개선권고를 의결하였다.

  ※ 대한적십자사 : 과태료 100만 원, 시정명령, 개선권고국립중앙도서관 : 과태료 540만 원, 개선권고

  가명정보란 추가정보의 사용·결합 없이는 특정개인을 알아볼 수 없는 정보이며, 가명정보 처리에 관한 특례(개인정보 보호법 §28의2 ~ §28의5) 적용 대상이 된다.

  ※ 가명정보는 처리 특례에 따라 안전조치 의무 준수, 처리 내역 작성·보관, 추가정보와 분리 보관, 재식별 금지, 결합전문기관에 의한 가명정보 결합 등의 의무가 부과됨

<대한적십자사>

  대한적십자사는 헌혈자 행동데이터 통계분석을 토대로 헌혈참여 확산 등을 위한 과학적 연구를 위해 다른 기관과 업무협약(MOU)을 추진하던 중, 헌혈정보시스템(BIMS) 내에서 혈액형·성별·직업 등 특정 개인이 식별되지 않는 11개의 정보를 추출하여 가명정보 약 176만 건을 생성하고, 이를 타 기관에 전송하였다.

  개인정보위는 대한적십자사가 가명정보의 처리내역을 작성·보관하지 않았고, 가명정보를 타 기관에 제공하면서 정상적인 결재 절차를 거치지 않았으며, ｢가명정보 처리 가이드라인｣에 따른 ‘가명처리 단계별 절차*’를 거치지 않은 사실을 확인하여, 과태료 100만 원 부과와 함께 시정명령 및 개선권고를 의결하였다.

  * 개인정보의 가명처리는 ①가명처리 목적 설정 등 사전준비 → ②위험성 검토 → ③가명처리 수행 → ④적정성 검토 및 추가 가명처리 → ⑤가명정보의 안전한 관리단계 순서로 이루어져야 함 

<국립중앙도서관>

  국립중앙도서관은 빅데이터 통계 분석 등을 목적으로 ‘도서관 빅데이터 사업’과 ‘도서추천시스템(솔로몬시스템)’을 운영하면서, 1,490여개 참여 도서관으로부터 출생연도, 우편번호, 성별 등 특정 개인이 식별되지 않는 11개 항목과 도서 대출데이터를 제공받고 있다.

  개인정보위는 국립중앙도서관이 운영하는 솔로몬 관리자페이지*에 접속할 때 안전한 접속 또는 인증수단이 적용되지 않았고, 접속기록 중 일부가 누락되었으며, 가명정보 처리 내역이 작성·보관되고 있지 않은 사실을 확인하여 과태료 540만 원을 부과하였다. 또한, 가명정보의 안전한 처리를 위해 참여 도서관들을 지도·감독하고 관련 교육을 실시하도록 하는 개선권고도 함께 의결하였다.

  * 솔로몬 관리자페이지에는 참여 도서관 소속 직원들은 접속할 수 없고, ‘도서관 빅데이터 사업’을 담당하는 국립중앙도서관 직원만 접속

  가명정보는 AI·데이터 경제시대에 매우 유용하나 원본정보 등 추가정보와 결합되면 개인이 특정될 우려가 있으므로, 추가정보와 분리 보관하거나 처리대장 작성·보관 등 안전조치 의무를 준수하는 것이 반드시 필요하다고 개인정보위는 당부했다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사총괄과 이충범(02-2100-3106), 나일청(02-2100-3162)